駭進iCloud只需要3通電話跟4條資訊
上周五晚間,科技雜誌 《Wired》作家 Mat Honan 的 iCloud帳號被盜用,而且冒充的駭客使用的是不需要技術的手法,只要有人同時擁有亞馬遜和蘋果的的帳號,那他就有可能受到這種手法的攻擊。
據《CNNMoney》報導,從頭到尾,駭客只打了 3 通電話,用上 4 條資訊,就盜用了 Honan 的亞馬遜、iCloud、Gmail 、Twitter帳號,也刪光了他 iPhone、iPad及MacBook Air 上的資料。
他的悲慘遭遇凸顯了亞馬遜 (Amazon)(AMZN-US) 和蘋果 (Apple)(AAPL-US) 在身份辨識系統上的盲點,而這兩家公司是科技產業中最廣為使用的兩家販售點。
Honan 就和很多人一樣,擁有許多電子郵件帳號,駭客發現他有一個用「@me.com」結尾的電子郵件,於是得知了他有蘋果 ID 的情報。
然後駭客利用亞馬遜盜用了他的 ID,方法如下:打電話給亞馬遜告知他們,想要在帳號中多增加一組信用卡號碼,然後亞馬遜就會要當事人提供姓名、帳單地址和電子郵件位置。完成之後,再撥一次電話到亞馬遜,這次告訴他們帳號遺失了,亞馬遜會要你提供,姓名、帳單地址、信用卡號碼,完成之後就註冊了一個新的電子郵件帳號。
接著只要再用這個郵件帳號到亞馬遜網站上重設密碼,駭客就能侵入他的目標帳號,看到帳號底下所有的信用卡號末四碼。這末四碼就足以突破蘋果的系統,因為蘋果只憑信用末四碼進行身份辨識。
駭客接著打去蘋果客服要求重設 Honan 的「@me.com」電子郵件帳號,雖然所有的安全認證問題他一個都答不出來,但憑著帳單地址與信用卡末四碼就足以說服蘋果提供 Honan iCloud 帳號的暫時性密碼。
對此安全漏洞,蘋果表示是因為有員工未遵守內部安全性政策,但沒有說明是何種安全政策。
亞馬遜也在周二回應已經把安全漏洞補上,但同樣沒有說明做了什麼樣的改變,只是客服人員已不再接受用電話更改帳號設定。
===============
引用 http://news.cnyes.com/content/20120808/KFM3H5ZEL1QD0.shtml?c=pic#
留言列表
